• ESG Highlights
    • /
  • 개인정보보호 및 정보보안
개인정보보호 및 정보보안
코웨이의 정보보호 활동은 개인정보보호 및 정보보호 조직을 기반으로 운영되며, 정보보호위원회를 중심으로 주요 안건 논의 및 의사결정을 진행하고 있습니다.
지배구조
정보보호 조직

코웨이의 정보보호 활동은 개인정보보호 및 정보보호 조직을 기반으로 운영되며, 정보보호활동 전반에 경영진의 참여가 이루어질 수 있도록 정보보호위원회를 중심으로 주요 안건 논의 및 의사결정을 진행하고 있습니다. 정보보호위원회는 임원급 위원회로, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 의거한 정보보호 최고 책임자 요건인 ‘정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력’을 보유한 정보보호 최고책임자(CISO : Chief Information Security Officer)가 위원장을 맡고 있으며, 유관부서의 장으로 구성된 위원들이 정보보호 위원으로 참여하고 있습니다.

정보보호위원회는 개인정보보호 및 정보보호 영역의 통합 관리체계를 구축하여 정보보호 관리의 효율성을 높이고 있습니다. 전체 개인정보보호 및 정보보호 조직은 주관부서인 정보보안팀을 중심으로 운영되며, 유관부서와 긴밀한 협업과 주기적 모니터링, 리스크 관리를 통해 철저한 정보보호 체계 구축 및 개인정보 보호를 위해 노력하고 있습니다.

개인정보보호 및 정보보호 조직
정보보호위원회
정보보호위원회 2022년 주요 활동

대외적으로 사이버 공격의 위협과 코로나 19 팬데믹으로 인한 디지털 사회로의 전환, 대내적으로 온라인 서비스 확대 및 클라우드 환경 변화에 적합한 보안정책 수립의 필요성이 증가하였습니다. 2022년 정보보호위원회에서는 변화된 대내외 정보보호 환경 및 프로세스를 반영한 정보보호 정책/지침을 전면 개정하였으며, 클라우드서비스 보안 지침을 신규 제정함에 따라 정보보호 관리체계가 더욱 실질적이고 체계적으로 운영될 수 있는 기반을 마련하였습니다.

전략
정보보호 정책

코웨이는 고객의 소중한 개인정보보호를 위해 정보보호 정책 및 지침을 수립하여 원칙에 기반한 정보보호 체계를 운영하고 있습니다. 코웨이는 정보보호 규정을 정보보호 기본 원칙에 대한 정책과 정보보호 세부 실천 영역별 지침으로 나누어 실무에 적용하기 쉽도록 구성하였습니다. 정보보호 정책 및 지침은 사업환경의 변화에 따라 광범위해지는 정보보호 영역을 반영하기 위해 정기적인 검토 과정을 거쳐 제·개정됩니다.

2022년에는 사내 클라우드 시스템 사용 활성화와 위치정보를 활용한 서비스 증가 등 최신 정보보호 이슈를 반영하기 위해 기존 정책 1종, 지침 3종으로 운영되던 규정을 정책 1종, 지침 17종으로 세분화하여 제·개정하였습니다. 코웨이는 내부 비즈니스 영역뿐만 아니라 영업조직을 비롯한 수탁자 및 협력사에도 개인정보 관련 지침 및 방침을 모두 적용함으로써 철저한 정보보호를 추진하고 있습니다.

정보주체 개인정보 권리 보장

코웨이는 정보주체의 권리 보장을 위하여 정보주체가 삭제를 요청한 개인정보나, 이프라이버시 클린서비스를 통해 접수되는 사항에 대해서 신속하게 대응하고 있습니다.

23년에는 정보주체가 개인정보처리방침의 핵심사항을 이해하기 쉽도록, 코웨이닷컴 및 코스메틱 사이트의 개인정보 처리 표시(라벨링)를 적용 완료하였습니다.

(적용일자 : 코웨이닷컴_2023.5.12 / 코스메틱_2023.4.25)

정보보호 활동

개인정보보호 관리 체계 및 정보보호대책

코웨이는 개인정보의 수집, 보관 및 활용, 파기 전 단계에서 고객의 정보를 더욱 안전하게 관리하기 위해 개인정보보호 라이프사이클 관리 체계를 추진합니다. 또한 라이프사이클 전반에서 정보보호 역량을 강화하기 위해 관리영역, 물리영역, 기술영역으로 나누어 정보보호 대책을 실행하고 있습니다. 관리 영역에서는 정보 자산을 분류하고 정보보호 교육을 통한 정보보호를 추진하며, 물리 영역에서는 출입 통제, CCTV, 클린데스크 등의 영역을 담당하며, 기술 영역에서는 시스템 통제 및 침해사고 관리, IT 시스템 기반의 진단, 재해 복구를 진행하고 있습니다.

코웨이는 2022년에 보안 캠페인, 보안 포스터 배포, 정보보호 슬로건 공모전 등을 통하여 우수자에게 시상하는 등의 활동을 실시하고, 정기적으로 클린데스크 점검 및 악성메일 모의훈련을 진행하여 임직원의 정보보안 실태를 점검하고 행동요령을 숙지하도록 하는 등 보안사고 예방을 위한 인식제고 활동을 하고 있습니다.

임직원 참여 정보보호 활동

구분

일정

대상

내용

클린데스크 시행

5,9,12월 (3회 시행)

본사,연구소,공장 (현장은 자가점검 체크리스트 배포)

클린데스크 활동을 통한 업무환경에서 발생할 수 있는 보안 사고 예방

악성메일 모의훈련

4,7,10월 (3회 시행)

전사 임직원

악성메일 유입에 따른 악성코드 감염 및 정보유출 예방을 위한 인식제고 활동

정보보호 슬로건 공모전

9월(1회 시행)

전사 임직원

참신하고 코웨이 정보보호 문화 형성에 적합한 슬로건 선정 이벤트

정보보호 인증

코웨이는 개인정보보안 및 개인정보보호에 대한 국내외 인증을 획득함으로써 공신력있는 제3자 기관에서 정보보호 인증을 취득하였으며, 사후심사(1년 단위)와 갱신심사(3년 단위) 진행을 통해 매년 정보보호 수준을 강화하고 있습니다.

보유 인증

ISMS-P

ISO/IEC 27001:2013

표준

국내

국제

유효기간

2022.06.15 ~ 2025.06.14

2020.12.20 ~ 2023.12.20

인증기관

한국인터넷진흥원(KISA)

DNV

인증 범위

코웨이 온라인 서비스
(코웨이닷컴, 코스메틱)

ISMS on IT Activities

인증 효과

  • 정보보호 위험관리를 통한 비즈니스 안정성 제고
  • 윤리 및 투명 경영을 위한 정보보호 관련 법률 준수
  • 침해사고, 집단소송 등에 따른 사회/경제적 피해 최소화
  • 국제규격에 부합한 정보보호 관련 법률 준수
  • 정보보호 위협으로부터 체계적인 위험 관리 환경 제공
  • 정보 유출에 대한 예방 효과 인증 취득 시 대외 신뢰도 향상

사업 기여 영향도 (대외적)

인증 유지를 통해 체계적인 예방 및 개선 활동을 지속적으로 유지하여 해킹, 내부자 위협 등으로부터 개인정보 침해사고를 예방하는 것뿐만 아니라 이와 연결되는 법규 위반, 재무(과태료 등) 및 평판 리스크까지 방어할 수 있어 회사의 비즈니스 안전성에 기여할 것으로 예상됩니다.

위험관리
개인정보보호 및 정보보호 프레임워크

대/내외 서비스 및 시스템 구축 또는 서비스의 주요 변경이 발생하는 경우 정보보호 법률 및 취약점을 사전에 점검하고 개선하는 “보안성 검토”를 수행합니다

개인정보보호법 및 ISMS-P 인증 기준에 따라 보안성 검토를 진행하여 법률 RISK 및 보안 취약점을 사전에 예방합니다

임직원의 PC내 개인정보가 포함된 파일이 있는지를 탐지하여, 사용중인 파일은 암호화하고 사용 목적이 종료된 파일은 삭제토록 권고하고 있으며, 내PC 지킴이를 통하여 PC 환경의 안전성을 확보합니다

정보보호 위험 모니터링

2022년 코웨이는 이상징후 시스템을 기반으로 개인정보 대량 조회 및 반출, 근무시간 외 활동 등 위험 요소를 선별하여 점검을 수행하고 있으며, 보안정책 위배 의심 사례가 확인되면 이를 개선하는 업무를 수행하고 있습니다. 또한 새로운 보안 위협에 대응하기 위해 노후된 보안시스템을 교체하여 운영 안정성 및 모니터링을 강화하였으며, 전사 직원 및 협력사, 파트너를 대상으로 악성메일 모의 대응 훈련을 실시하였습니다. 또한 인프라 취약점 진단, 보안성 검토 및 재해복구 절차 유효성 검증 등의 과정을 통해 정보보호 체계의 지속성을 점검하였습니다.

시스템 기반 위험 점검 및 실사
보안사고 예방 및 사후조치
개인정보 침해사고 발생시 대응 체계

개인정보 침해사고 및 정보유출 사건 발생 시 신속한 초기 대응을 통해 피해를 최소화하고 2차적인 피해를 방지할 수 있도록 사고 대응 체계를 운영하고 있습니다. 코웨이는 개인정보 관련 사고를 침해사고와 유출사고(개인정보 유출, 내부정보 유출)로 구분하여 유형별 대응 방안을 마련하였습니다. 우선 보안 관제 및 상시 모니터링 시스템을 운영하여 사고 발생 즉시 정보보호 담당자에게 보안사고 의심내역을 신고하고 대응팀을 구성하도록 하고 있습니다. 사고 대응을 위해 초동조치 후 사실 확인 및 증거 수집·보존 과정을 거쳐 정보의 유출 경로 등에 대한 정밀 분석을 실시합니다. 이후 사후조치 과정에서 재발방지 대책을 수립하고 이에 따라 조치하며 서비스 정상화를 위해 노력합니다. 코웨이는 이러한 대응 체계를 갖춤으로써 유사한 사고가 재발하지 않도록 사고 경로, 대응책 등을 정리하여 관련 부서에 정기적으로 배포 및 교육하고 있습니다.

지표 및 목표

코웨이는 정보보호 활동을 월 단위로 모니터링하고, 개선 사항을 도출하여 지속적인 정보보안 활동에 대해 보고 및 관리하고 있습니다. 2022년에 총 34개의 정보보호 활동을 통해 목표 달성도 90%를 상회하는 100% 달성을 기록하였습니다.

100%

법준수 의무 활동 실시율

100%

보안 표준 내재화 적용률

100%

개선 계획 실행률

100%

위험 탐지 대응률

100%

인식 제고 계획 실행률

100%

교육 대상자 대비 수료율

100%

보안 취약점 조치 제거율

100%

관리 수준 진단 실시율
2022 정보보호 주요활동 및 성과

구분

주요 활동 및 성과

평가 지표

측정결과

Compliance 준수

  • 개인정보 접속기록/파기실태 점검
  • 정보주체 이용내역 통지,불만/분쟁 해결

법준수 의무 활동 실시율

100%

관리체계 운영

  • 정보보호 규정 제 ⠂개정
  • 통제구역 물리보안 점검
  • 대/내외 서비스에 대한 보안성 검토 진행
  • 월별 정보보호 활동 보고
  • ISO27001 인증 갱신
  • ISMP-P 인증 획득
  • 정보보호 공시 등록

보안 표준 내재화 적용률

100%

보안 시스템 운영

  • 보안 시스템 운영 체계 개선
  • 보안 시스템 접근권한 및 불필요 정책 점검

개선 계획 실행률

100%

정보보호 예방

  • PC보안 취약점 및 정보유출 위협 탐지/대응
  • 악성코드 감염 조치
  • 사무공간 내 정보보호를 위한 클린데스크 점검
  • 주요 사업장 (연구소 및 공장) 클린데스크 확대 시행

위험 탐지 대응률

100%

인식 제고

  • 매월 정보보안 캠페인 시행
  • 주요정보 유출 및 랜섬웨어 등에 관한 주의 사항 고지
  • 악성메일 모의 훈련 3회
  • 정보보안 캠페인 설문
  • 임직원 참여형 이벤트 시행 (정보보호 슬로건 공모전 시행)

인식 제고 계획 실행률

100%

교육 강화

  • 임직원 및 협력사 대상으로 회사 보안 솔루션 및 정책을 기반으로 한 맞춤형 정보보호 교육 시행
  • 비상주 근무자인 위임계약자에게 매월 정보보안 실천수칙 알림톡 발송
  • IDC 모의 훈련 시행
  • 연 1회 도상훈련을 통해 1등급 장애상황에 대한 재해복구 절차 및 비상연락망의 유효성 검증
  • 연 1회 개인정보 유출을 가정하여 유출 경로 및 유출 건수 확인, 조치 및 고지, 신고 프로세스에 대한 모의 훈련 시행

교육 대상자 대비 수료율

100%

위험 관리

  • 보안성 검토 및 전사적 위험 조치⠂제거
  • 연1회 모의 해킹, 인프라 취약점 진단 완료
  • END-POINT 보안 위험 탐지 강화 및 보안 사각지대 최소화

보안 취약점 조치⠂제거율

100%

내부 감사

  • 정보보호 관리체계 실태 점검
  • 협력사 및 수탁사 보안 관리 실태 점검

관리 수준 진단 실시율

100%